何谓单点登录（SSO）？

单点登录（SSO）技术实现了将众多不同应用程序的登录界面合并为一个。当启用SSO时，用户只需在单一页面输入一次登录凭证（例如用户名和密码），便能够无缝访问所有其SaaS应用程序。

SSO通常在企业环境中得到应用，尤其是在用户应用程序由内部IT团队负责分配和管理的情况下。对于那些使用SaaS应用程序的远程工作人员，SSO同样能够带来便利。

试想一下，若顾客进入酒吧后，每次购买含酒精饮料时都需要出示身份证以验证年龄，他们会作何感想。一些顾客可能会因为频繁的检查而感到不悦，甚至可能会尝试通过自带饮料规避这些规定。

然而，大多数酒吧只会对顾客的身份进行一次检查，随后整个夜晚都可以自由点单。这一情景与SSO系统颇为相似：用户无需反复证明自己的身份，只需进行一次验证，即可轻松访问多种不同的服务。

SSO是众多身份和访问管理（IAM）或访问控制解决方案的核心组成部分。用户身份验证对于确定每个用户应有的权限至关重要。例如，Cloudflare Zero Trust就是一种集成了SSO功能的访问控制解决方案。

SSO的优势有哪些？

除了提升用户便捷性和便利性外，SSO还被普遍认为更加安全。这似乎与直觉相悖：为何一次性登录比多次使用多个密码更安全？SSO的支持者给出了以下理由：

更强的密码：使用SSO时，用户仅需一个密码，因此更容易创建、记忆和使用复杂的密码。事实上，大多数用户也会将复杂的密码与SSO结合使用。

“强”密码不易被猜到，且随机性强，难以通过暴力攻击破解。例如，“w7:g"5h$G@”是一个相当复杂的密码，而“password123”则不够安全。

无重复密码：当用户需要记住多个应用和服务的密码时，可能会出现“密码疲劳”现象。用户在不同服务中重复使用密码会带来巨大的安全风险，因为这意味着所有服务的安全性仅与最弱的服务相当。SSO通过将所有登录合并为一个，从而消除了这种风险。

更好地执行密码策略：由于只需在一个地方输入密码，SSO为IT团队提供了一个轻松执行密码安全规则的途径。例如，一些公司要求用户定期更改密码。借助SSO，密码更改变得更加容易实现：用户只需重置一个密码，而无需在多个应用和服务中频繁更改。

多因素身份验证：多因素身份验证（MFA）是指使用多个身份因素对用户进行验证。例如，除了输入用户名和密码外，用户可能还需要连接USB设备或输入其智能手机上显示的代码。持有物理对象是确定用户身份的第二个“因素”。MFA比仅依靠密码更加安全。SSO使得在单个点上激活MFA成为可能，而不必为多个应用和服务分别激活。

单点强制重新输入密码：管理员可以强制实施在一定时间后重新输入凭证，以确保同一用户仍在登录设备上保持活跃状态。借助SSO，他们可以在一个集中位置对所有内部应用执行此要求，而无需在多个不同的应用之间执行（某些应用可能不支持）。

内部管理凭证而非外部存储：通常，用户密码由各种应用程序和服务以不受管理的方式存储在远程位置，这些应用程序或服务也不一定遵循最佳安全性实践。但在使用SSO时，它们可以存储在IT团队可更好地控制的内部环境中。

减少浪费在密码恢复上的时间：除了上述安全优势外，SSO还能减少内部团队在密码恢复方面的耗时。IT部门花费更少的时间来帮助用户恢复或重置数十个应用的密码，用户也可以花费更少的时间登录各种应用来执行其工作。这有可能提高企业生产力。

SSO登录如何工作？

每当用户登录SSO服务时，该服务会创建一个身份验证令牌，记录用户已通过验证。身份验证令牌是一条存储在用户浏览器中或SSO服务服务器上的数字信息，类似于颁发给用户的临时身份证。用户访问的任何应用都会与SSO服务进行核对。SSO服务将用户的身份验证令牌传递给应用，用户便被允许进入。但若用户尚未登录，则会被提示通过SSO服务进行登录。

SSO服务不一定记住用户是谁，因为它不存储用户身份。大多数SSO服务在工作时需要与单独的身份管理服务核对用户的凭证。

SSO可被视为一种中介，它验证用户的登录凭证是否与数据库中的身份相符，而无需自行管理数据库。这就像图书馆员代表他人根据书名查找书籍一样。图书馆员无需记住整个借书证目录，但可以轻松访问它。

SSO身份验证令牌如何工作？

在SSO流程中，将身份验证令牌传递给外部应用程序和服务至关重要。这样，身份验证才能独立于其他云服务运作，使SSO成为可能。

打个比方，有一个只允许少数人参加的专属活动。若要证明活动入口处的保安已经检查并批准某位客人，一种方法是在每位客人的手臂上盖章。工作人员可以检查每位客人的印章，以确保他们已被允许到场。但是，并非任何印章都行；工作人员知道入口处的保安所用印章的确切形状和颜色。

就像每个印章必须外观一致，身份验证令牌也有自己的通信标准来确保其正确和合法。主要的身份验证令牌标准称为SAML（安全断言标记语言）。与用HTML（超文本标记语言）编写网页的方式类似，身份验证令牌用SAML来编写。

SSO如何与访问管理策略相契合？

SSO只是管理用户访问的一个方面。它必须与访问控制、权限控制、活动日志以及其他用于跟踪和控制组织内部系统中用户行为的手段相结合。但SSO是访问管理的核心要素。如果系统不知道用户的身份，就无法允许或限制其操作。

标签: 区块链